我正在使用以下命令从 Wireshark 转储生成 XML 格式的输出:
tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml
查看生成的 XML 文件,我无法弄清楚位置和尺寸属性,这些属性随处可见。有人能解释一下吗,或者提供文档链接?
输出片段:
<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
<proto name="ip" ...>
<field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
</proto>
</pdml>
还:
为什么是价值设置为45而不是4?
有什么区别节目名称和展示?
答案1
有人可以解释一下,或者提供文档链接吗?
为什么将值设置为 45 而不是 4。
value(45)是该字段涵盖的实际数据包数据(十六进制)show(4)是数据包数据的表示(value)就像在显示过滤器中出现的那样。
showname 和 show 有什么区别?
showname是协议树中用于描述该字段的标签。这通常是协议的描述性名称,后面跟着一些表示
value。show(4)是数据包数据的表示(value)就像在显示过滤器中出现的那样。(本例中为版本号)
“
<field>”标签“
<field>”标签可以具有以下属性:
name- 该字段的显示过滤器名称showname- 用于在协议树中描述此字段的标签。这通常是协议的描述性名称,后跟值的一些表示。pos- 该字段在数据包数据中的起始偏移量size- 该字段涵盖的数据包中的八位字节数。value- 该字段涵盖的实际数据包数据(十六进制)show- 数据包数据(“值”)在显示过滤器中的表示形式。某些解析器有时会将文本放入协议树中,而不使用带有字段名称的字段。这些文本在 PDML 中显示为“
<field>”标签,没有“name”属性,但带有提供该文本的“show”属性。